Reddit gehackt: 'SMS-Authentifizierung nicht so sicher, wie wir dachten'

Reddit ist laut der Traffic-Analyse-Seite Alexa die derzeit siebentgrößte Webseite der Welt. Und dort gab es vor kurzem einen aufsehenerregenden Hacker-Angriff. Dabei ist vor allem das Wie der Attacke bemerkenswert. Denn dem Hacker gelang es, die SMS-basierte Zwei-Faktor-Authentifizierung auszuhebeln.
Internet, Hacker, Angriff, Hack, Hackerangriff, Reddit, Community
The Hacker News
Banken und andere Internet-basierten Dienste, bei denen sensible Daten eine Rolle spielen, steigen schon seit einer Weile auf Sicherheitssysteme um, bei denen die Zwei-Faktor-Authentifizierung (2FA) nicht über SMS vonstattengeht. Stattdessen setzen sie auf diverse verschlüsselte und Internet-basierte Systeme. Grund dafür ist, dass Mobilfunk-Kurznachrichten verhältnismäßig einfach abgefangen werden können.
Infografik: Zehn Fakten über RedditZehn Fakten über Reddit
Und genau das ist einer der Top-10-Seiten des Planeten nun passiert: Denn Reddit gab bekannt (via The Hacker News), dass man am 19. Juni in Erfahrung bringen musste, dass ein Angreifer zwischen 14. und 18. Juni Zugriff auf einige Mitarbeiter-Accounts hatte. Grund dafür waren nicht ausreichende Sicherheitsmaßnahmen, da diese zum Teil auf SMS basiert haben.

Diese 2FA-Nachrichten wurden abgefangen, Reddit schreibt, dass man "lernen musste, dass SMS-basierte Authentifizierung nicht ansatzweise so sicher ist wie wir gehofft haben, da die Hauptattacke über das Abfangen von SMS ablief". Reddit meint weiter, dass man dadurch alle zu Token-basierter 2FA ermuntern möchte.

Mit blauem Auge davongekommen

Laut Reddit hatte man bezüglich des Ausmaßes Glück im Unglück: Zwar sei die Attacke eine schwerwiegende gewesen, der Angreifer konnte aber keinen Schreib-Zugriff auf Reddit erlangen. Betroffen waren "nur" Systeme mit Backups, Quellcode und anderen Logs. Informationen konnten nicht manipuliert werden, Reddit hat aber weitere Schritte in die Wege geleitet, um seine Interna wie API-Keys zu schützen.

Zugriff erlangten der oder die Angreifer auf ein Datenbank-Backup vom Start der Seite bis zum Jahr 2007. Dazu zählten vor allem Nutzernamen und Passwörter (salted und hashed), E-Mail-Adressen und Inhalte (öffentliche aber auch private Nachrichten). Betroffene Nutzer bekommen dieser Tage eine Nachricht, die sie auffordert, das Passwort zu ändern. Allzu viele werden das aber wohl nicht sein, da Reddit vor elf Jahren nicht ansatzweise so populär war wie heute.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/LenovoLisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
53,98
Ersparnis zu Amazon 33% oder 26
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!